Hacker nutzen häufige Schwachstellen aus, um die Multi-Faktor-Authentifizierung zu umgehen. Dabei lassen sich mit relativ einfachen Lösungen solche Sicherheitsrisiken minimieren.
Mittlerweile haben viele Unternehmen verstanden, dass die Verwendung eines einstufigen Authentifizierungsmechanismus (Benutzername und Kennwort) in externen Portalen ein Sicherheitsrisiko darstellt. Ohne eine Richtlinie für starke Kennwörter wählen Benutzer oft, sei es aus Bequemlichkeit oder Unwissenheit, schwache oder alte Kennwörter. Das macht ihr Konto anfällig für Übergriffe. Die Einführung der Multi-Faktor-Authentifizierung (MFA) bietet eine zusätzliche Sicherheitsebene, um eine Kontoübernahme zu verhindern. Bei Verwendung dieses Mechanismus müssen Benutzer einen Benutzernamen/ein Kennwort und einen zweiten Faktor angeben, um sich erfolgreich authentifizieren zu können. Aber was sind die häufigsten Fallstricke, die Hacker nutzen, um MFA zu umgehen?
Wie Hacker Passwörter erraten
Die Secureworks Adversary Group (SwAG) ist ein Team von 90+ ethischen Elite-Hackern, die jährlich +1400 Engagements durchführen. Während ihrer Penetration Testing Engagements sind sie häufig in der Lage, die Passwörter von Konten zu erraten. Die Technik dahinter ist einfach: Der Gegner durchsucht das LinkedIn-Profil der Opferorganisation, sammelt den Vor- und Nachnamen aller Mitarbeiter und erstellt eine Benutzerliste.
Anschließend erstellen sie mithilfe der integrierten Microsoft365-Funktionen verschiedene Kombinationen aus Vor- und Nachname eines Mitarbeiters (max.mustermann, mmustermann, maxmustermann usw.), um das für die Authentifizierung verwendete Benutzernamenformat heraus zu bekommen.
Wenn Sie ein Benutzernamenformat kennen, können Sie eine Benutzernamenliste aller Mitarbeiter erstellen, die in der LinkedIn-Gruppe der Opferorganisation gefunden wurden. Mit diesem Wissen können Gegner ein Passwort-Spray durchführen, um Mitarbeiter mit schwachen aber gängigen Passwörtern wie „123456“, „passwort“, „hallo“ usw. zu identifizieren.
Anders als bei einem Brut-Force-Angriff, bei dem das Opfer bereits identifiziert ist und lediglich das Passwort erraten werden muss, wird mittels Passwort-Spray der passende User zu einem bestimmten Passwort ermittelt.
Leider ist es immer noch üblich, dass Mitarbeiter oder der Helpdesk bei der Auswahl von Passwörtern einfache Begriffe aus einem Wörterbuch verwenden, sodass Angreifer die Anmeldeinformationen leicht erraten können.
Wie Hacker MFA umgehen
Wenn ein simulierter Gegner Anmeldeinformationen durch Passwort-Spraying oder Phishing kompromittiert hat, stößt SwAG immer wieder auf einen bestimmten MFA-Mechanismus.
Das einfachste, aber gebräuchlichste MFA-Bypass-Szenario besteht darin, ein Konto zu finden, das sich noch nicht mit MFA registriert ist. Das kann von einem neuen Mitarbeiter sein, der sich gerade im Onboarding befindet, oder ein externer Dienstleister, der noch nicht auf sein Konto zugegriffen hat. Mit einer gültigen Kombination aus Benutzername und Passwort kann ein Hacker einfach sein eigenes Mobiltelefon registrieren und erhält so authentifizierten Zugriff.
Ein weiteres gängiges Szenario besteht darin, externe Systeme aufzuspüren, die nicht durch MFA geschützt sind. Beispielsweise kann ein externer Perimeter einer Organisation MFA für Microsoft365 und ihre SSL-VPN erzwingen. Aber was ist zum Beispiel mit einem alten Citrix-Portal, das nicht mehr von Mitarbeitern genutzt wird und seinerzeit beim Rollout von MFA vergessen wurde? Dieses System wäre ein Ziel der Wahl für einen Hacker, der Anmeldeinformationen kompromittiert hat, um im internen Netzwerk Fuß zu fassen.
MFA kommt in verschiedenen Varianten daher; Manchmal müssen Benutzer eine Push-Benachrichtigung akzeptieren, manchmal ist ein Einmal-Token erforderlich. Angreifer umgehen Push-Benachrichtigungen, indem Sie den Benutzer mürbe machen. Auch bekannt als Prompt-Bombing-Technik, sendet der Cyberkriminelle mehrere Push-Benachrichtigungen in kurzer Folge, bis der Benutzer genervt eine von ihnen akzeptiert, um nicht mehr gestört zu werden. Eine weitere MFA-Umgehungstechnik besteht darin, die Ortszeit des Opfers zu identifizieren und beispielsweise bis 9.00 Uhr morgens zu warten, um eine Push-Benachrichtigung zu senden. Es ist wahrscheinlicher, dass das Opfer diese Benachrichtigung als Teil seiner morgendlichen Anmelderoutine akzeptiert, anstatt einer Benachrichtigung, die mitten in der Nacht empfangen wird. Obwohl diese MFA-Umgehungstechniken simplifiziert sind, werden sie aktiv von Bedrohungsgruppen wie der Lapsus $ Threat Group verwendet, die in den letzten Monaten Microsoft, Okta und Nvidia gehackt hat.
One Time Token sind die sicherste Alternative, da ein Mitarbeiter das Token manuell in ein Webportal eingeben muss. Die Token werden von Mitarbeitern oft nicht als sensible Informationen betrachtet. Beispielsweise ist die Secureworks Adversary Group während der Red Team-Engagements oft erfolgreich darin ihre Opfer dazu zu bringen, ihr One Time Token preiszugeben, indem sie sich am Telefon als IT-Helpdesk ausgeben.
Richtlinien zum Härten
Organisationen sollten die folgenden Punkte der nicht abschließend vollständigen Liste in ihre Praktiken integrieren, um Kontoübernahmen zu verhindern:
- Erzwingen Sie eine Richtlinie für sichere Kennwörter (15 Zeichen, Groß-/Kleinschreibung und Sonderzeichen).
- Verweigern Sie Begriffe aus Wörterbüchern, um das Erraten von Kennwörtern zu verhindern.
- Überwachen Sie Authentifizierungsversuche, um Passwort-Spray-Angriffe zu erkennen.
- Überprüfen Sie die geschäftskritischen Anforderungen aller externen Assets gründlich.
- Wenn eine Authentifizierung erforderlich ist, erzwingen Sie MFA via Single Sign On.
- Beauftragen Sie Institutionen wie die Secureworks® Adversary Group um Schwachstellen in Ihren Verteidigungslinien aufzuspüren und potentielle Einfallsvektoren für Cyberkriminelle abzusichern.
IT-Sicherheit ist Unternehmenssicherheit
Cybersecurity ist heute mehr denn je der Schlüssel für eine erfolgreiche digitale Transformation und dient der Sicherung der eigenen Marke, was in turbulenten Zeiten einen nicht zu unterschätzenden Wettbewerbsvorteil für ein Unternehmen bedeutet kann.
Autor: Ben Jacob, Senior Consultant Solutions Architect, Secureworks Adversary Group